کمیته رکن چهارم– پژوهشگران امنیتی هشدار دادهاند که گروه سایبری Tick وابسته به چین، با استفاده از یک آسیبپذیری خطرناک روز صفر در نرمافزار Lanscope، به سیستمهای سازمانی دسترسی پیدا کرده و بدافزارهایی برای سرقت اطلاعات نصب کرده است. این آسیبپذیری به مهاجم اجازه میدهد فرمانهایی را با بالاترین سطح دسترسی اجرا کند.
به گزارش کمیته رکن چهارم، گروه Tick از سالها پیش در حوزه جاسوسی سایبری فعال بوده و تمرکز خاصی روی سازمانهای شرق آسیا دارد. در این حمله، بدافزار Gokcpdoor روی سیستمهای هدف نصب شده که میتواند به سرورهای فرمان متصل شده و کنترل کامل سیستم را در اختیار بگیرد. این نسخه جدید برای مخفیسازی ارتباطات از روشهای پیشرفتهای مانند smux استفاده میکند.
برای نفوذ، مهاجمان ابتدا از روش DLL side-loading استفاده کردهاند و سپس با ابزارهایی مانند goddi برای جمعآوری اطلاعات و Remote Desktop برای دسترسی از راه دور، عملیات را تکمیل کردهاند. دادههای سرقتشده نیز از طریق خدمات ابری مانند LimeWire یا Piping Server خارج شدهاند.
پیشتر نیز این گروه از آسیبپذیریهای روز صفر مشابه در نرمافزارهای ژاپنی استفاده کرده بود. اکنون کارشناسان امنیتی به سازمانها توصیه میکنند سرورهای Lanscope را فوراً بهروزرسانی کرده و دسترسی آنها به اینترنت را محدود کنند تا از حملات احتمالی جلوگیری شود.
